Unidad 5: VPN

        I.            Título:
VPN
      II.            Contenido
a.      Introducción
El alumno elaborará un resumen con los elementos teóricos de la materia, referentes a la descripción de las principales características de una VPN, la seguridad en IP (IPSec), identificando los servicios de seguridad en una VPN, los tipos de VPN, los protocolos que integran una VPN, y describir el procedimiento de configuración de una VPN.
b.      Desarrollo
Principales características de una VPN:
Como puede suponerse, a través de una VPN pasa información privada y confidencial que en las manos equivocadas, podría resultar perjudicial para cualquier empresa. Esto se agrava aún más si el empleado en cuestión se conecta utilizando un Wi-Fi público sin protección. Afortunadamente, este problema puede ser mitigado cifrando los datos que se envían y reciben. Para poder lograr este objetivo, se pueden utilizar los siguientes protocolos:

IPsec (Internet Protocol Security): permite mejorar la seguridad a través de algoritmos de cifrado robustos y un sistema de autentificación más exhaustivo. IPsec posee dos métodos de encriptado, modo transporte y modo túnel. Asimismo, soporta encriptado de 56 bit y 168 bit (triple DES).
PPTP/MPPE: tecnología desarrollada por un consorcio formado por varias empresas. PPTP soporta varios protocolos VPN con cifrado de 40 bit y 128 bit utilizando el protocolo Microsoft Point to Point Encryption (MPPE). PPTP por sí solo no cifra la información.
L2TP/IPsec (L2TP sobre IPsec): tecnología capaz de proveer el nivel de protección de IPsec sobre el protocolo de túnel L2TP. Al igual que PPTP, L2TP no cifra la información por sí mismo.
Parte de la protección de la información que viaja por una VPN es el cifrado, no obstante, verificar que la misma se mantenga íntegra es igual de trascendental. Para lograr esto, IPsec emplea un mecanismo que si detecta alguna modificación dentro de un paquete, procede a descartarlo. Proteger la confidencialidad e integridad de la información utilizando una VPN es una buena medida para navegar en Wi-Fi públicos e inseguros incluso si no se desea acceder a un recurso corporativo.

Por otro lado, aquellos usuarios hogareños que deseen utilizar una red VPN, pueden elegir entre servicios gratuitos y otros de pago. Es importante mencionar que aquellos libres suelen funcionar más lento que uno que no lo es. También, recomendamos la lectura de nuestra Guía de Seguridad en redes inalámbricas en donde se repasan otras medidas que se pueden adoptar para utilizar una conexión inalámbrica pública de forma más segura.

Seguridad en IP (IPSec)
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.
Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de aplicación (capa 7 del modelo OSI). Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP.

Servicios de seguridad en una VPN
VPN de enrutador a enrutador: Éste es por lo general un canal de seguridad del Protocolo de Internet (IPSec) entre los enrutadores. La VPN de enrutador a enrutador se debe utilizar si todas las oficinas pequeñas forman parte de una organización central. Por lo general esta opción reemplaza las líneas privadas de punto a punto o circuitos del esquema.
La siguiente figura ilustra el concepto de una VPN de enrutador a enrutador.


VPN de cliente a enrutador: Por lo general esta es una conexión de cliente a enrutador de la VPN del IPSec. Normalmente las VPNs de cliente a enrutador se utilizan para el soporte administrativo. Los administradores se pueden conectar al enrutador a través de la VPN y administrar los sistemas o resolver los problemas. Algunos firewalls proporcionan soporte VPN para múltiples usuarios. Por lo general los firewalls brindan soporte a los clientes propietarios, pero es mejor si cuentan con el soporte de clientes VPN de Microsoft Windows XP nativos. Se recomienda utilizar software que no es de Microsoft en PCs sólo como una VPN alternativa para administradores o ingenieros de soporte debido a la complejidad que involucra su administración.
La siguiente figura ilustra el concepto de una VPN de cliente a enrutador.


El Servidor de acceso a la red de cliente a VPN siempre se debe utilizar para usuarios remotos y móviles. También lo pueden utilizar los administradores e ingenieros de soporte. Si Windows Small Business Server 2003 se instala en la oficina pequeña, se debe utilizar como el Servidor de acceso a la red. El servicio de Enrutamiento y acceso remoto se puede configurar para dar soporte al PPTP y L2TP/IPSec; ambos protocolos son muy seguros. L2TP/IPSec requiere que los certificados del PC se utilicen correctamente. Por esta razón, el PPTP es una opción mejor y más sencilla.
La siguiente figura ilustra el uso del Servidor de acceso a la red de cliente a VPN para usuarios remotos y móviles.

Cómo instalar y activar un servidor VPN

Para instalar y activar un servidor VPN, siga estos pasos:
1.    Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
2.    Haga clic en el icono de servidor correspondiente al nombre del servidor local en el panel izquierdo de la consola. Si el icono tiene un círculo de color rojo en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto no está activado. Si el icono tiene una flecha de color verde que señala hacia arriba en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto está activado. Si el servicio Enrutamiento y acceso remoto se activó previamente, quizás desee volver a configurar el servidor. Para reconfigurar el servidor:
1.    Haga clic con el botón secundario del mouse (ratón) en el objeto servidor y, después, haga clic en Deshabilitar el enrutamiento y el acceso remoto. Haga clic en  para continuar cuando aparezca un mensaje informativo.
2.    Haga clic con el botón secundario del mouse en el icono del servidor y, después, haga clic en Configurar y habilitar Enrutamiento y acceso remoto para iniciar el Asistente para instalación del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente para continuar.
3.    Haga clic en Acceso remoto (acceso telefónico o red privada virtual) para activar los equipos remotos de forma que puedan marcar o conectarse a esta red a través de Internet. Haga clic en Siguiente para continuar.
3.    Active VPN Acceso telefónico, dependiendo de la función que vaya a asignar a este servidor.
4.    En la ventana Conexión VPN, haga clic en la interfaz de red conectada a Internet y, después, haga clic en Siguiente.
5.    En la ventana Asignación de direcciones IP, haga clic en Automáticamente si se va a utilizar un servidor DHCP para asignar direcciones a clientes remotos o haga clic en De un intervalo de direcciones especificado si los clientes remotos sólo deben recibir direcciones de un conjunto predefinido. En la mayoría de los casos, la opción DHCP es más fácil de administrar. Sin embargo, si DHCP no está disponible, debe especificar un intervalo de direcciones estáticas. Haga clic en Siguiente para continuar.
6.    Si hizo clic en De un intervalo de direcciones especificado, se abrirá el cuadro de diálogo Asignación de intervalo de direcciones. Haga clic en Nuevo. Escriba la primera dirección IP del intervalo de direcciones que desee utilizar en el cuadro Dirección IP inicial. Escriba la última dirección IP del intervalo en el cuadro Dirección IP final. Windows calcula automáticamente el número de direcciones. Haga clic en Aceptar para volver a la ventana Asignación de intervalo de direcciones. Haga clic en Siguiente para continuar.
7.    Acepte la opción predeterminada No, usar Enrutamiento y acceso remoto para autenticar las solicitudes de conexión y haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio Enrutamiento y acceso remoto, y para configurar el servidor como servidor de acceso remoto.

Cómo configurar el servidor VPN

Para seguir configurando el servidor VPN como sea necesario, siga estos pasos.

Cómo configurar el servidor de acceso remoto como enrutador

Para que el servidor de acceso remoto reenvíe el tráfico correctamente dentro de la red, debe configurarlo como un enrutador con rutas estáticas o con protocolos de enrutamiento de forma que se pueda llegar a todas las ubicaciones de la intranet desde él.

Para configurar el servidor como un enrutador:
1.    Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
2.    Haga clic con el botón secundario del mouse en el nombre del servidor y, a continuación, haga clic en Propiedades.
3.    Haga clic en la ficha General y, a continuación, active Enrutador bajo Habilitar este equipo como.
4.    Haga clic en Enrutamiento LAN y de marcado a petición y, después, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.

Cómo modificar el número de conexiones simultáneas

El número de conexiones de módem de acceso telefónico depende del número de módems que se instalan en el servidor. Por ejemplo, si sólo hay un módem instalado en el servidor, sólo se dispone de una conexión por módem cada vez.

El número de conexiones VPN de acceso telefónico depende del número de usuarios simultáneos que desee permitir. De manera predeterminada, al ejecutar el procedimiento descrito en este artículo se permiten 128 conexiones. Para cambiar el número de conexiones simultáneas, siga estos pasos:
1.    Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
2.    Haga doble clic en el objeto de servidor, haga clic con el botón secundario del mouse en Puertos y, después, haga clic en Propiedades.
3.    En el cuadro de diálogo Propiedades de Puertos, haga clic en Minipuerto WAN (PPTP) y, después, haga clic en Configurar.
4.    En el cuadro Número máximo de puertos, escriba el número de conexiones VPN que desea permitir.
5.    Haga clic en Aceptar, haga clic de nuevo en Aceptar, y cierre Enrutamiento y acceso remoto.

Cómo administrar direcciones y servidores de nombres

El servidor VPN debe tener disponibles las direcciones IP que asignará a la interfaz del servidor virtual VPN y a los clientes VPN durante la fase de negociación del proceso de conexión del Protocolo de control de IP (IPCP). La dirección IP asignada al cliente VPN se asigna a la interfaz virtual del mismo.

Para los servidores VPN basados en Windows Server 2003, las direcciones IP asignadas a clientes VPN se obtienen de manera predeterminada mediante DHPC. Asimismo, puede configurar un conjunto de direcciones IP estáticas. El servidor VPN también debe estar configurado con servidores de resolución de nombres, generalmente direcciones de servidores DNS y WINS, para asignar al cliente VPN durante la negociación de IPCP. 


Cómo administrar el acceso

Configure las propiedades de acceso telefónico en las cuentas de usuario y en las directivas de acceso remoto para administrar el acceso a las conexiones de acceso telefónico y a las conexiones VPN.


NOTA: de manera predeterminada, se deniega a los usuarios el acceso telefónico a redes.



Acceso mediante cuentas de usuario

Para conceder acceso telefónico a una cuenta de usuario si está administrando el acceso remoto de cada uno de los usuarios, siga estos pasos:
1.    Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.
2.    Haga clic con el botón secundario del mouse en la cuenta del usuario y, a continuación, haga clic en Propiedades.
3.    Haga clic en la ficha Marcado.
4.    Haga clic en Permitir acceso para conceder al usuario permiso de marcado. Haga clic en Aceptar.

Acceso mediante la pertenencia a grupos

Si administra el acceso remoto basándose en grupos, siga estos pasos:


1.    Cree un grupo que contenga los miembros a los que se les permite crear conexiones VPN.
2.    Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
3.    En el árbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del servidor y haga clic en Directivas de acceso remoto.
4.    Haga clic con el botón secundario del mouse en cualquier lugar del panel de la derecha, seleccione Nuevo y haga clic en Directiva de acceso remoto.
5.    Haga clic en Siguiente, escriba el nombre de la directiva y haga clic en Siguiente.
6.    Haga clic en VPN para el método de acceso a una red privada virtual o en Marcado para el acceso telefónico y, después, haga clic en Siguiente.
7.    Haga clic en Agregar, escriba el nombre del grupo que ha creado en el paso 1 y haga clic en Siguiente.
8.    Siga las instrucciones que aparecerán en la pantalla para finalizar el asistente.


Si el servidor VPN ya permite los servicios de acceso telefónico a redes remoto, no elimine la directiva predeterminada. En lugar de ello, muévala de forma que sea la última directiva en evaluarse. 


Cómo configurar una conexión VPN desde un equipo cliente

Para configurar una conexión con una VPN, siga estos pasos. Para configurar un cliente para acceso a una red privada virtual, siga estos pasos en la estación de trabajo cliente:

NOTA: para poder seguir estos pasos, debe haber iniciado sesión como miembro del grupo Administradores.

NOTA: como hay varias versiones de Microsoft Windows, los pasos siguientes pueden ser diferentes en su equipo. Si es así, consulte la documentación del producto para completarlos.

1.    En el equipo cliente, confirme que la conexión a Internet está configurada correctamente.
2.    Haga clic sucesivamente en InicioPanel de control y Conexiones de red. En Tareas de red, haga clic en Crear una conexión nueva y, a continuación, haga clic en Siguiente.
3.    Haga clic en Conectarse a la red de mi lugar de trabajo para crear la conexión de acceso telefónico. Haga clic en Siguiente para continuar.
4.    Haga clic en Conexión de red privada virtual y, después, haga clic en Siguiente.
5.    Escriba un nombre descriptivo para esta conexión en el cuadro de diálogo Nombre de la organización y haga clic en Siguiente.
6.    Si el equipo está conectado a Internet de forma permanente, haga clic en No usar la conexión inicial. Si el equipo se conecta a Internet a través de un proveedor de servicios Internet (ISP), haga clic en Usar automáticamente esta conexión inicial y, después, haga clic en el nombre de la conexión con el ISP. Haga clic en Siguiente.
7.    Escriba la dirección IP o el nombre de host del equipo servidor VPN (por ejemplo, ServidorVPN.DominioDeEjemplo.com).
8.    Si desea permitir que cualquier usuario que inicie sesión en la estación de trabajo tenga acceso a esta conexión telefónica, haga clic en El uso de cualquier persona. Si desea que la conexión sólo esté disponible para el usuario que ha iniciado sesión actualmente, haga clic en Sólo para mi uso. Haga clic en Siguiente.
9.    Haga clic en Finalizar para guardar la conexión.
10.  Haga clic sucesivamente en InicioPanel de control y Conexiones de red.
11.  Haga doble clic en la nueva conexión.
12.  Haga clic en Propiedades para seguir configurando opciones para la conexión. Para seguir configurando opciones para la conexión, siga estos pasos:

·         Si se va a conectar a un dominio, haga clic en la ficha Opciones y active la casilla de verificación Incluir el dominio de inicio de sesión de Windows para especificar si se va a solicitar información de dominio de inicio de sesión de Windows Server 2003 antes de intentar la conexión.
·         Si desea que se vuelva a marcar en caso de que la conexión se interrumpa, haga clic en la ficha Opciones y active la casilla de verificación Volver a marcar si se interrumpe la línea.
Para utilizar la conexión, siga estos pasos:
1.    Haga clic en Inicio, seleccione Conectar a y haga clic en la nueva conexión.
2.    Si actualmente no está conectado a Internet, Windows le ofrece la posibilidad de conectarse.
3.    Una vez realizada la conexión a Internet, el servidor VPN le pide su nombre de usuario y su contraseña. Escriba su nombre de usuario y su contraseña; a continuación, haga clic en Conectar.
Sus recursos de red deben estar disponibles de la misma manera que cuando se conecta directamente a la red.NOTA: para desconectarse de la VPN, haga clic con el botón secundario del mouse en el icono de la conexión y, a continuación, haga clic en Desconectar.

    III.            Bibliografía:

FIREWALL
 N.d.    http://docente.ucol.mx/ychavez/public_html/FIREWALL.htm, accessed November 15, 2017.

Medidas de Seguridad Preventivas Y Correctivas Aplicables a Un Firewall.
 N.d.    http://seguridadycriptografiaut.blogspot.com/2015/11/medidas-de-seguridad-preventivas-y.html, accessed November 15, 2017.


Técnicas de Implementación de Firewall
 N.d.    http://seguridadycriptografiaut.blogspot.com/2015/11/tecnicas-de-implementacion-de-firewall.html, accessed November 15, 2017.

Comentarios

Publicar un comentario

Entradas populares de este blog

Practica 1: Packet Tracer - Layer 2 Security

Imagen
Packet Tracer - Layer 2 Security   Topology Objectives ·          Assign the Central switch as the root bridge. ·          Secure spanning-tree parameters to prevent STP manipulation attacks. ·          Enable port security to prevent CAM table overflow attacks. Background / Scenario There have been a number of attacks on the network recently. For this reason, the network administrator has assigned you the task of configuring Layer 2 security. For optimum performance and security, the administrator would like to ensure that the root bridge is the 3560 Central switch. To prevent spanning-tree manipulation attacks, the administrator wants to ensure that the STP parameters are secure. To prevent against CAM table overflow attacks, the network administrator has decided to configure port se...
Leer más

Practica 2: Packet Tracer - Layer 2 VLAN Security

Imagen
Packet Tracer - Layer 2 VLAN Security Topology Objectives ·          Connect a new redundant link between SW-1 and SW-2. ·          Enable trunking and configure security on the new trunk link between SW-1 and SW-2. ·          Create a new management VLAN (VLAN 20) and attach a management PC to that VLAN. ·          Implement an ACL to prevent outside users from accessing the management VLAN. Background / Scenario A company’s network is currently set up using two separate VLANs: VLAN 5 and VLAN 10. In addition, all trunk ports are configured with native VLAN 15. A network administrator wants to add a redundant link between switch SW-1 and SW-2. The link must have trunking enabled and all security requirements should be in place. In addition, the network administrator wants to connect a management PC to...
Leer más

Ataques de capa 2

Imagen
¿Qué son los ataques de capa 2? y ¿Cómo mitigarlos? Antes que nada, es necesario identificar cual es la capa #2.              En la capa 2 del modelo de OSI se encuentran dispositivos como: HUB: Dispositivo que permite centralizar el cableado de una red y poder ampliarla, lo que significa que dicho dispositivo recibe una señal y repite esta señal emitiéndola por sus diferentes puertos. Bridges: Su función es ser un puente, el cual cuenta con dos conexiones a dos redes distintas, cuando el puente recibe una trama en una de sus interfaces, analiza la dirección MAC del emisor y del destinatario, en caso de que un puente no reconociese al emisor, almacena su dirección en una tabla para poder recordar en qué lado de la red se encuentra el emisor. Switches: Se le conoce por ser un componente de interconexión de redes de computadoras que opera en la capa 2 (nivel de enlace de datos). Un conmutador interconecta dos o más segmen...
Leer más